Internetcriminelen maken nog steeds gebruik van lnk-bestanden om ransomware te verspreiden, zo waarschuwt Microsoft. Vorig jaar oktober waarschuwde de softwaregigant al voor deze aanvalsmethode, die toen werd gebruikt om de Locky-ransomware op computers te installeren.
Nu wordt er via de lnk-bestanden ook andere malware verspreid, zoals de Kovter-ransomware. De aanval begint met een e-mail die zich voordoet als een afleverbericht van de US Postal Service (USPS). Volgens de e-mail kon er een pakketje niet bij de ontvanger van het bericht worden afgeleverd en is er meer informatie in het meegestuurde "document" te vinden. Het gaat hier om een zip-bestand met daarin weer een ander zip-bestand dat uiteindelijk het lnk-bestand bevat.
Het lnk-bestand is eigenlijk een PowerShell-script dat malware op de computer downloadt, zoals de Kovter- en Locky-ransomware, die vervolgens bestanden voor losgeld versleutelen. Volgens Microsoft beschikt Windows 10 over een PowerShell-optie genaamd Constrained Mode die het gebruik van bepaalde functionaliteit beperkt, waardoor kwaadaardige PowerShell-scripts bijvoorbeeld geen malware kunnen downloaden en uitvoeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.